*
Windows XP*
resultados por Bing
|Segurança em Casa|Microsoft em Casa|Microsoft no Trabalho

Segurança Sem Fio WPA para Redes Domésticas

Publicado em: 28 de julho de 2003
**
**

Nota do Editor: Artigos anteriores escritos pelos membros da comunidade on-line estão arquivados para sua utilização. As informações podem se tornar desatualizadas à medida que a tecnologia muda. Para informações mais atuais, procure no site ou envie uma pergunta no grupo de notícias.

Barb Bowman

Não é segredo que o maior desafio para usuários de Wi-Fi domésticos é dar segurança às suas LANs sem fio. Na verdade, redes sem fio domésticas e SOHO raramente são seguras porque o usuário doméstico comum acha muito difícil.

Até recentemente, a Privacidade Equivalente Sem Fio (WEP) era o padrão principal de criptografia opcional de 128 bits para proteger uma rede doméstica sem fio. Ainda que roteadores, pontos de acesso e adaptadores de computador sem fio para uso residencial fossem remetidos com recursos WEP, a maioria dos fabricantes desativava o WEP por padrão. Muitos usuários domésticos sem fio nunca se preocuparam em ativá-lo, então eles não tinham nenhuma segurança nem proteção contra intrusos. Aqueles que se aventuravam pelos desafios da configuração de WEP em redes domésticas normalmente não conseguiam nem mudar a chave WEP. Mas agora vem a boa notícia, especialmente para usuários de Microsoft Windows XP. As fraquezas anteriores nas questões de configuração complicada e segurança sem fio para o usuário doméstico foram eliminadas graças a uma nova especificação de segurança chamada Acesso Protegido Wi-Fi (WPA,em inglês).

O WPA e o Service Pack 1 do Windows XP (incluindo o Windows XP Home Edition, Windows XP Professional, Tablet PC Edition e Media Center Edition) combinados com uma atualização que pode ser baixada pela Internet agora oferecem ao usuário doméstico uma configuração mais fácil e uma segurança mais forte do que antes. Agora você não precisa contratar um consultor de redes ou achar um vizinho nerd legal para configurar a segurança sem fio.

Nesta coluna irei mostrar como eu configurei minha rede doméstica com um modo WPA especial, chamado WPA-PSK ( Chave Pré-Compartilhada ) e explicar como o WPA-PSK funciona. Irei mostrar algumas das soluções que estou usando para incluir equipamentos mais antigos de 802.11b não capacitados para WPA na rede habilitada para WPA. Também irei dar uma breve atualização sobre os procedimentos de segurança adicionais que você pode usar para dar segurança para sua rede sem fio.

Como o WPA e o WPA-PSK Funcionam?

O WPA WPA resolve a questão dos cabeçalhos WEP fracos, que são chamados de vetores de inicialização (IV), e oferece uma forma de garantir a integridade das mensagens transmitidas pelo MIC (chamado de Michael ou de checagem de integridade de mensagem) usando TKIP (o Protocolo de Integridade de Chave Temporária) para melhorar a criptografia de dados. O WPA-PSK é um modo especial do WPA para usuários domésticos sem um servidor de autenticação corporativo e oferece a mesma proteção forte de criptografia.

De forma simples, o WPA-PSK é uma criptografia extraforte em que chaves de criptografia são automaticamente mudadas (o que é chamado de rechaveamento ) e autenticadas entre dispositivos depois de um período de tempo especificado, ou depois de número de pacotes transferidos especificado. Isso é chamado de intervalo de rechaveamento. O WPA-PSK é muito superior ao WEP e oferece proteção maior para os usuários domésticos/SOHO por duas razões. O processo utilizado para gerar a chave de criptografia é muito rigoroso e o rechaveamento (ou mudança de chave) é feito muito rapidamente. Isso evita que até o hacker mais determinado junte dados suficientes para quebrar a criptografia.

O WEP era confuso para os usuários domésticos por causa dos vários tipos de chaves que os fornecedores usavam (HEX, ASCII e frase secreta) e porque os usuários domésticos misturavam e conectavam equipamentos de diversos fornecedores, todos usando tipos diferentes de chaves. Mas o WPA-PSK emprega um método consistente e fácil de usar para dar segurança à sua rede. Esse método usa uma frase secreta (também chamada de segredo compartilhado ) que deve ser digitada tanto no ponto de acesso/roteador sem fio quanto nos clientes WPA. Tecnicamente, esse segredo compartilhado pode ter entre 8 e 63 caracteres e pode incluir caracteres especiais e espaços. A chave pré-compartilhada WPA deve ser ou uma seqüência aleatória de caracteres do teclado (letras minúsculas ou maiúsculas, números e pontuação) com pelo menos 20 caracteres, ou dígitos hexadecimais (números 0-9 e letras A-F) com pelo menos 24 dígitos. Quanto mais aleatória for sua chave pré-compartilhada WPA, mais segura de se usar ela será.

O Protocolo de Integridade de Chave Temporária (TKIP) assume depois que o segredo compartilhado inicial é digitado em seus dispositivos sem fio e manipula a criptografia e o rechaveamento automático.

O WPA não é um padrão IEEE oficial, mas é baseado e pretende ser compatível com o padrão de segurança 802.11i que está por vir, às vezes chamado de WPA2. O WPA é projetado para ser uma atualização de software. O padrão 802.11i provavelmente irá requerer uma atualização de hardware. Entretanto, profissionais de segurança e fornecedores sem fio esperam que o WPA-PSK e o WPA de hoje sejam úteis por um longo tempo.

Nota: Se você tem um Smart Display, o programa de instalação atual não executa se a atualização do WPA está instalada por causa de um problema de compatibilidade com uma ferramenta chamada wzctool.exe. Para mais informações e soluções alternativas, veja Instalação do Smart Display é Incompatível com Atualização de Acesso Protegido Wi-Fi   . Esse problema também causa impacto no programa de instalação para o software de Rede de Banda Larga Sem Fio Microsoft. A solução é usar uma instalação manual.

Configuração Zero Sem Fio Suporta WPA

Uma atualização para os usuários de Windows XP Service Pack 1 oferece suporte de sistema operacional para WPA. Se você ainda não recebeu essa atualização automaticamente:

1.

Abra o Internet Explorer e, no menu Ferramentas, clique em Windows Update.

2.

Procure por Atualização Recomendada 815485 dentro de Windows XP.

Você encontra mais informações no artigo de Base de Conhecimento, Visão Geral da Atualização de Segurança Sem Fio WPA no Windows XP   . Você irá precisar instalar essa atualização e usar adaptadores sem fio e um ponto de acesso ou roteador que suporta WPA.

A Buffalo Technology  me forneceu sua nova Estação Base de Roteador Sem Fio  WBR-G54 802.11g capacitada para WPA e PC Card  WLI-CB-G54A (sites em inglês). O roteador suporta WPA-PSK assim como o modo WPA corporativo mais complexo que, como o padrão WEP antigo, requer um servidor de autenticação. Eu uso esse hardware na minha rede doméstica em modo WPA-PSK e grande parte desta coluna é baseada em minha experiência com esse equipamento. Esses produtos da Buffalo Technology usam o chipset 802.11g da Broadcom. As atualizações do WPA estão sendo postadas pelos fornecedores para alguns equipamentos baseados no chipset 802.11g da Broadcom que inicialmente não eram remetidos com recursos WPA.

Espera-se que atualizações para produtos 802.11g baseados em Intersil, Atheros, Texas Instruments e outros chipsets cheguem logo e equipamentos desses fornecedores sejam interoperáveis com WPA. Os fornecedores estão centrando seus esforços em equipamentos de 802.11g novo ou 802.11a/g de multi-modo. Os produtos 802.11b antigos podem ou não ser atualizáveis, dependendo do fornecedor. Se você tem um equipamento 802.11b, cheque com o fornecedor para ver se atualizações serão oferecidas para seu(s) produto(s) em particular.

Configurando o WPA-PSK para Seu Roteador ou Ponto de Acesso

O primeiro passo na construção de uma rede doméstica ultra-segura é configurar para WPA-PSK seu roteador ou ponto de acesso capacitado para WPA. Utilize uma conexão com fio, se possível, para especificar essas configurações, já que uma conexão com fio não sofrerá impactos se você cometer um erro. Comece acessando a página web administrativa interna do seu ponto de acesso ou roteador.

Nota: A interface de configuração WPA para pontos de acesso ou roteadores habilitados para WPA pode variar. Algumas podem fornecer capacidade de configuração total tanto para usuários corporativos com telas e menus de configuração WPA quanto para usuários domésticos com telas e menus WPA-PSK. Alguns equipamentos direcionados em específico para o mercado residencial podem fornecer somente recurso WPA-PSK e oferecer poucas opções de configuração.

A Buffalo Technologies Air Station oferece uma implantação completa do WPA e WPA-PSK tanto para usuários corporativos quanto domésticos. Eu configurei esse roteador como um dispositivo “somente g” para maximizar o desempenho. (Escreverei mais sobre 802.11g em uma coluna futura.)

A seguir estão os passos que eu usei para configurar esse equipamento para WPA-PSK depois de acessar a interface web de administração. Observe que equipamento de outros fornecedores pode ter uma interface um pouco diferente, mas os procedimentos devem ser muito similares.

Figure 1

Figura 1

1.

Localize o menu chamado Segurança ou Autenticação de Rede. As opções WEP, WPA, WPA-PSK, e NONE (Nenhuma) estarão disponíveis nesse menu. Na Figura 1, o nome é Autenticação de Rede. (A Buffalo Technology facilita o estabelecimento de todas as configurações sem fio porque elas são todas encontradas em uma única página administrativa dentro de Configuração de LAN, Sem Fio.)

2.

Clique em WPA-PSK.

3.

Digite uma frase secreta difícil de adivinhar (entre 8 e 63 caracteres) no campo Chave Pré-Compartilhada WPA. Ela também é conhecida como Segredo Compartilhado.

4.

Digite um Intervalo de Rechaveamento (normalmente a unidade está em segundos).

5.

Clique em Aplicar ou Reconfigurar, dependendo da implantação do fornecedor.

Configurando o WPA-PSK no Windows XP

Depois que você configurou seu roteador ou ponto de acesso para WPA-PSK, você irá precisar configurar as propriedades sem fio em cada computador para WPA-PSK como segue:

1.

Dê um clique com o botão direito no ícone de rede sem fio na área de notificação e então clique em Exibir Redes Sem Fio Disponíveis.

2.

Selecione a rede capacitada para WPA-PSK que você quer anexar ao clicar no SSID (Identificador de Conjunto de Serviços). Como mostra a Figura 2, estou configurando o SSID buffalog.

3.

Digite o Segredo Compartilhado (frase secreta) no campo Chave de Rede e novamente no campo Confirme Chave de Rede, como mostra a Figura 2. Ainda que o texto se refira a uma chave de rede, a frase secreta pode ser digitada aqui.

4.

Clique em Conectar.

Figure 2

Figura 2

Você também pode configurar o WPA-PSK ou editar um Segredo Compartilhado configurado ao clicar no botão Avançado mostrado na Figura 2. A caixa de diálogo Propriedades da Conexão de Rede Sem Fio se abre.

Se a Rede Sem Fio não está configurada ainda e não aparece na janela inferior, selecione-a e então clique em Configurar.

Se a Rede Sem Fio já é uma Rede Preferida e aparece na janela inferior, selecione-a e então clique em Propriedades.

Como mostra a Figura 3, estou configurando o SSID “gee2”, que é uma outra rede sem fio capacitada para WPA-PSK.

Figure 3

Figura 3

O nome de rede (SSID) para o ponto de acesso ou roteador que você está configurando é exibido, como mostra a Figura 4.

1.

Selecione WPA-PSK da caixa Autenticação de Rede.

2.

Use o método de criptografia de dados TKIP padrão.

3.

Digite o Segredo Compartilhado/Frase Secreta que você digitou dentro de Chave de Rede no ponto de acesso ou roteador sem fio.

4.

Digite o Segredo Compartilhado/Frase Secreta uma segunda vez dentro de Confirme chave de rede e então clique em OK.

Figure 4

Figura 4

Agora você deve conseguir conectar com sucesso seu extremamente seguro ponto de acesso ou roteador habilitado para WPA-PSK.

Dicas para Fortalecer a Segurança Sem Fio

Há algum risco com o WPA-PSK? Deve ser óbvio que o segredo compartilhado precisa ser guardado com cuidado. Não use algo que seja descoberto com facilidade. Use algo que os hackers que empregam ataques de dicionários normalmente não tenham em seus dicionários. (Se você recebeu um SPAM que parece que foi direcionado para qualquer nome e nome mais números possíveis no planeta, então você sabe o que um ataque de dicionário é). Você pode usar algo que somente você lembre.

Cheque seu ponto de acesso ou roteador sem fio para ver se há um Intervalo de Rechaveamento configurável e o defina. Eu uso 100 (segundos). Note que alguns pontos de acesso e roteadores residenciais somente WPA-PSK podem não oferecer essa capacidade de configuração e usam um Intervalo de Rechaveamento do tipo hard-coded.

Aqui está um resumo dos passos adicionais que você pode tomar, além de usar WPA, para dar segurança a sua rede doméstica sem fio:

Nunca use o SSID padrão fornecido pelo fabricante. Você pode desligar o broadcast do nome do SSID, mas isso não irá impedir que hackers determinados o encontrem.

Configure uma lista de controle de acesso por endereço Mac de todos os dispositivos que você quer associar com o ponto de acesso ou roteador sem fio.

Mude a senha padrão fornecida pelo fabricante do ponto de acesso ou roteador sem fio.

Coloque o ponto de acesso ou roteador no centro de sua casa e não perto de uma janela.

Desligue o acesso administrativo sem fio se possível.

Considerações de Hardware

Antes que você possa implantar WPA em uma rede doméstica, você irá precisar começar com um ponto de acesso ou roteador sem fio que suporte WPA. Além disso, você irá precisar de cartões cliente sem fio que tenham suporte a firmware e drivers para suportar esse novo padrão. A partir de junho de 2003, a maioria dos fornecedores estará no processo de trazer novos adaptadores cliente, pontos de acesso e roteadores sem fio 802.11g ao mercado e implantar o WPA em dispositivos sem fio lançados recentemente. A maioria irá implantar WPA no hardware sem fio 802.11g recentemente aprovado e então adaptar alguns 802.11b mais antigos com firmware e drivers para Windows XP que suportem WPA.

Recentemente soube que alguns fornecedores podem não oferecer atualizações para dispositivos sem fio que usem a versão antiga de chipsets Intersil Prism 2.0. Isso significa que alguns dos adaptadores 802.11b da primeira geração podem não ser atualizáveis para criptografia WPA. A Wi-Fi Alliance    logo irá requerer certificação WPA como condição para certificar a compatibilidade Wi-Fi. Na maioria dos casos com adaptadores clientes mais antigos, simplesmente não há espaço no firmware para implantar a funcionalidade WPA.

Muitos roteadores e pontos de acesso 802.11b de primeira geração também usam o chipset Prism mais antigo e um número deles pode não ser atualizável para firmware WPA. Isso significa que, se você quer atualizar para WPA, você irá precisar comprar um hardware mais novo. Confira com o fabricante do seu equipamento sem fio 802.11b para determinar se uma atualização para WPA será oferecida ou não para seu hardware existente.

Ainda não jogue fora seus roteadores e pontos de acesso não atualizáveis, de legado, se a resposta for não. Como você verá um pouco à frente, você pode conseguir usá-los no modo de ponto de acesso para clientes 802.11b não atualizáveis. Assim como para produtos somente 802.11a, a Atheros (o fornecedor para toda a primeira geração de hardware somente 802.11a) não oferecerá atualizações para dispositivos somente 802.11a.

Redes Domésticas, WPA-PSK e Dispositivos e Sistemas Operacionais Mistos

É importante notar que o Windows XP SP1 com a atualização WPA 815485 oferece a capacidade de configurar tanto o WEP quanto o WPA/WPA-PSK dentro do sistema operacional usando a Configuração Zero Sem Fio. Nenhum software ou utilitário adicional é necessário.

Se alguns computadores na sua rede doméstica estão usando um sistema operacional que não seja o Windows XP e se o fabricante do seu cartão sem fio não oferece um utilitário para configurar e dar suporte WPA-PSK (chamado de suplicante), você pode conseguir usar um software de terceiros, tal como o Cliente Odyssey da Funk Software para Windows   .

Nota: Depois de escrever isso, eu não consegui usar com sucesso o cliente Odyssey no modo WPA-PSK em um laptop de teste com Windows Millennium, mas a Funk tem me ajudado nesse problema. Parece ser algo com os drivers de base Broadcom que são usados para o cartão cliente da Buffalo Technology e outros cartões com base Broadcom que eu tentei.

A Funk também está preparando um cliente WPA para Pocket PCs, mesmo que ainda não se saiba se ele irá operar em modo WPA-PSK. Usuários Macintosh irão precisar esperar pelo lançamento do Mac OS 10.3 (Panther) para a funcionalidade WPA. Para jogadores usando Xbox Live com um 802.11b sem fio para bridge Ethernet, ainda não se sabe se as atualizações WPA para esses dispositivos mais antigos irão surgir. No momento, a resposta a esses problemas é usar um segmento de rede somente WEP em conjunto com WPA-PSK.

Reciclando Equipamentos Antigos para um Segmento Somente WEP

Se você se descobrir com um ponto de acesso ou roteador sem fio que não é atualizável para a funcionalidade WPA e decidir substituí-lo por um hardware novo, há duas coisas que você pode fazer com seu hardware antigo.

Se você é como a maioria dos usuários domésticos, você irá querer atualizar e substituir seu equipamento gradualmente. Se você comprou um novo roteador 802.11g ou 802.11a/g que suporta WPA-PSK, você pode simplesmente pegar seu ponto de acesso 802.11b antigo (ou roteador, se ele suporta o desligamento de DHCP e NAT e pode executar em modo de ponto de acesso) e plugá-lo no seu novo roteador para manipular todas as conexões não capacitadas para WPA na sua rede. Aqui estão os passos e procedimentos:

1.

Configure o SSID para algo diferente daquele que você está usando no seu novo roteador ou ponto de acesso capacitado para WPA. Nunca use o SSID padrão fornecido pelo fabricante. Você pode desligar o broadcast do nome do SSID, mas isso não irá impedir que hackers determinados o encontrem.

2.

Use um canal a pelo menos cinco canais de distância daquele que você configurou no novo ponto de acesso ou roteador.

3.

Configure a criptografia WEP, a mais forte suportada por todos os dispositivos e computadores não capacitados para WPA na sua rede doméstica.

4.

Configure uma lista de controle de acesso por endereço Mac de todos os dispositivos que você quer associar com o ponto de acesso 802.11b.

5.

Mude a senha padrão fornecida pelo fabricante no ponto de acesso sem fio.

6.

Se solicitado pelo dispositivo, configure um endereço de IP estático na faixa correta (siga as orientações do fornecedor).

7.

Plugue o dispositivo reconfigurado a uma porta Ethernet existente no seu roteador.

8.

Configure cada um dos seus dispositivos e computadores 802.11b não capacitados para WPA para se conectarem a esse ponto de acesso usando o SSID desse dispositivo.

Construindo um Honeypot com Equipamento Antigo

Se você escolheu atualizar todos os seus equipamentos e não tem dispositivos na sua rede que não suportam a funcionalidade WPA, você pode configurar um honeypot para distrair tentativas de intrusão se você está em um ambiente apto a drivers em conflito e curiosos na vizinhança. Um honeypot é um alvo falso que impede que hackers localizem sua rede real. Pegue um ponto de acesso 802.11b antigo e:

1.

Configure o SSID para algo diferente daquele que você está usando no seu novo roteador ou ponto de acesso capacitado para WPA.

2.

Use um canal a pelo menos cinco canais de distância daquele que você configurou no novo ponto de acesso ou roteador para evitar interferência.

3.

Coloque-o próximo a uma janela externa.

4.

Plugue-o a uma tomada de energia, mas não o conecte na sua rede.

5.

Não aponte nenhum de seus computadores ou dispositivos sem fio para esse dispositivo.

Você acabou de construir um honeypot. Isso pode envolver curiosos e vizinhos casuais (mas não determinados). Se você vive em uma área que é altamente povoada, você deveria experimentar as configurações de canal porque você pode descobrir que não há canais suficientes disponíveis para implantar isso.

Procurando por Mais Ajuda sobre WPA-PSK?

Instalações sem fio corporativas implantam segurança WEP sem fio em conjunto com autenticação 802.1x e servidores Radius. Se você trabalha para uma empresa grande, você terá um pessoal de IT dedicado que configura e gerencia todos os dispositivos sem fio na rede da corporação. O Acesso Protegido Wi-Fi para a corporação resolve vulnerabilidades WEP e serve como segurança de fortificação adicional. Você pode aprender mais sobre WPA para instalações sem fio corporativas ao visitar o site da Wi-Fi Alliance WPA   .

Se você está procurando por ajuda para configurar a segurança sem fio WPA-PSK para seu equipamento sem fio ou está procurando por opiniões de outros usuários finais sobre qual hardware habilitado para WPA-PSK comprar, a Microsoft oferece dois grupos de notícias em que você pode postar perguntas e conseguir uma ajuda on-line rapidamente: Grupo de notícias de Redes do Windows XP e da Web ou o Grupo de notícias de Rede Sem fio no Microsoft Windows   . Vejo você lá!

Barb Bowman gosta de compartilhar suas próprias experiências e percepções em relação às tecnologias de ponta de hoje. Ela é gerente de desenvolvimento de produtos para a Comcast High-Speed Internet, mas suas opiniões aqui são estritamente pessoais.



©2014 Microsoft Corporation. Todos os direitos reservados. Entre em contato |Nota Legal |Marcas comerciais |Política de Privacidade
Microsoft